CVE-2019-2215: Utilisation-Après-Libre dans la vulnérabilité du conducteur Binder
Pour plus d'informations, veuillez consulter :
Il y a eu des rapports d'exploits actifs de cette vulnérabilité. Zebra recommande fortement aux clients d'appliquer des mises à jour pour les produits Zebra touchés afin d'atténuer le risque d'exploitation.
Zebra prend la sécurité au sérieux et recommande aux clients de mettre à jour le dernier BSP et d'accepter les correctifs mensuels pour minimiser les risques de sécurité.
Les mises à jour seront affichées sur chaque page de support de l'appareil au fur et à mesure de leur publication.
La vulnérabilité du pilote de liant sans utilisation après l'utilisation libre est un bogue de privilège de noyau affectant potentiellement les appareils zebra exécutant le système d'exploitation Android 8.1 (Oreo). D'autres systèmes d'exploitation ne sont pas touchés ou ont déjà abordé la vulnérabilité.
Comme indiqué par Maddie Stone de l'équipe de sécurité Android:
Dans le commit en amont: "binder-poll() passe le fil --gt;waitqueue qui peut être dormi pour le travail. Lorsqu'un thread qui utilise epoll sort explicitement à l'aide de BINDER-THREAD-EXIT, la file d'attente est libérée, mais elle n'est jamais supprimée de la structure de données epoll correspondante. Lorsque le processus sort par la suite, le code de nettoyage de l'epoll tente d'accéder à la liste d'attente, ce qui se traduit par une utilisation après libre.
Le contrôle de l'accès au noyau/racine peut également conduire à une « chaîne d'exploitation », où les acteurs malveillants utilisent des exploits supplémentaires pour collecter des informations à partir de l'appareil.
Bien que la vulnérabilité soit évaluée élevée, elle nécessite l'installation d'une application compromise pour qu'elle se produise. Zebra encourage les clients à verrouiller les capacités de l'appareil pour empêcher l'installation d'applications compromises.
Produits Zebra touchés
Ces vulnérabilités peuvent avoir un impact sur certains les ordinateurs mobiles, tablettes et kiosques Zebra fonctionnant à Oreo 8.1.
Les mises à jour sont prévues pour être disponibles pour les produits concernés comme suit:
- produits TC2x : 15 novembre 2019
- Tous les autres produits touchés : 29 et 2019 octobre
Les mises à jour peuvent être téléchargées à partir de pages de support individuelles à cette date.
Pages de prise en charge des produits impactés :
Avertissement: Zebra fait toutes les tentatives pour libérer des mises à jour de sécurité sur ou à peu près le moment où Google publie son bulletin de sécurité respectif. Toutefois, le délai de livraison des mises à jour de sécurité peut varier selon la région, le modèle de produit et les fournisseurs de logiciels tiers. Dans certaines circonstances, le système d'exploitation doit être mis à jour à la dernière version de maintenance avant d'installer les mises à jour de sécurité. Les mises à jour individuelles des produits fourniront des conseils spécifiques.
Sauf indication contraire, il n'y a eu aucun rapport d'exploitation active des clients ou d'abus de ces problèmes nouvellement signalés.
Connaissez-vous un problème de sécurité potentiel avec un produit Zebra Technologies ?